تروجان RogueRobin اجرا شدن در محیط sandbox و وجود برنامه‌های امنیتی را مورد بررسی قرار می‌دهد.

استفاده از Google Drive برای کنترل تروجان RogueRobinبه گزارش حوزه دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان، عملیات‌های جدید وابسته به گروه DarkHydrus APT نشان دهنده استفاده خرابکارانه نوع جدیدی از تروجان RogueRobin و استفاده از Google Drive به عنوان یک کانال ارتباطی فرمان و کنترل جایگزین است.

آخرین فعالیت این گروه با استفاده از کدهای مخرب VBA جاسازی شده در اسناد Excel بوده است. به دلایل امنیتی، به طور پیش فرض ماکروها در مجموعه مایکروسافت آفیس غیرفعال هستند و فقط در صورتی که کاربر این قابلیت را به صورت دستی فعال کند، اجرا می‌شوند.

این حملات ابتدا توسط پژوهشگران مرکز TIC۳۶۰ در تاریخ ۹ ژانویه مشاهده شدند و به گروهDarkHydrus ، که در آزمایشگاه کسپرسکی با عنوان Lazy Meerkat شناخته می‌شوند، ارتباط داده شدند.

پژوهشگران متوجه شدند که کد ماکرو موجود در این اسناد، یک فایلTXT را دانلود کرده و سپس برنامه "regsvr۳۲.exe" آن را اجرا میکند. پس از چند مرحله دیگر، یک در پشتی که به زبان C نوشته شده بر روی دستگاه قربانیان قرار داده می‌شود.

فایل متنی دانلودشده، فایل SCT را که نسخهای از تروجان RogueRobin را به همراه دارد، پنهان می‌کند. در اصل، این فایل یک payload سفارشی مبتنی بر PowerShell است، اما به نظر می‌رسد که مهاجم آن را به نوع کامپایل شده تبدیل کرده است.

گروه DarkHydrus، تروجان RogueRobin را با فرمانی اضافی کامپایل کرده است که اجازه استفاده از Google Drive ، به عنوان روشی ثانویه برای ارسال دستورات، را به آن می‌دهد.

این فرمان، x_mode نامیده می‌شود و به طور پیش فرض غیرفعال است. با این حال، مهاجم میتواند آن را از طریق کانال ارتباط DNS، که خط ارتباطی اصلی با سرور کنترل و فرمان است، فعال کند.

بلافاصله پس از فعال شدن، تروجان لیستی از تنظیمات ذخیره شده در مجموعه‌ای از متغیرها را دریافت می‌کند. این مقادیر تبادل اطلاعات از طریق Google Drive را امکان‌پذیر می‌کند. مقادیر مد نظر آدرس‌هایی برای دانلود، بارگذاری، بروزرسانی فایل‌ها و جزئیات احراز هویت هستند. تبادل اطلاعات پس از بارگذاری یک فایل در Google Drive توسط تروجان، اتفاق می‌افتد.

تروجان RogueRobin اجرا شدن در محیط sandbox و وجود برنامه‌های امنیتی را نیز بررسی می‌کند.  DarkHydrus  تابستان گذشته در حمله علیه یک سازمان دولتی کشف شد. اخیرا نیز در تلاش برای سرقت مدارک و اعتبارات تحصیلی از موسسات آموزشی مشاهده شده است.

انتهای پیام/

برچسب ها: فناوری اطلاعات ، دنیای ارتباطات
خبرهای مرتبط
آخرین قیمت تلفن همراه در بازار (بروزرسانی ۲۴ آذر) +جدول
آخرین قیمت تلفن همراه در بازار (بروزرسانی ۱ دی) +جدول
سودجویان با طراحی بدافزارهایی در قالب فیلترشکن‌ از مردم کلاه‌برداری اینترنتی می‌کنند
وزیر ارتباطات و فناوری اطلاعات:
زمان پرتاب ماهواره‌ها باید توسط وزارت دفاع اعلام شود
اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
ماشین انسان‌شویی ساخته شد!
آیا واکسیناسیون عمومی علیه HPV یک ضرورت است؟
افزایش ۸ برابری حقوق دستیاران پزشکی و تبدیل رزیدنتی به شغل
معرفی محصولات آرایشی چشم غیرمجاز و هشدار درباره مصرف
درمان بیماری ایدز در کشور رایگان است
هیچ مدرسه‌ای ویژه اتباع دانش‌آموز در کشور وجود ندارد
این مُسکن‌ها خطر خونریزی داخلی را افزایش می‌دهند
عامل مهم ابتلا به تب دنگی در جهان
بیش از ۷ هزار بازمانده از تحصیل در شهرستان‌های تهران
جزئیات غربالگری سلامت روان دانش‌آموزان متوسطه
آخرین اخبار
کشف یک خاصیت دور از انتظار برای کاکائو
جزئیات غربالگری سلامت روان دانش‌آموزان متوسطه
افزایش ۸ برابری حقوق دستیاران پزشکی و تبدیل رزیدنتی به شغل
درمان بیماری ایدز در کشور رایگان است
معرفی محصولات آرایشی چشم غیرمجاز و هشدار درباره مصرف
ماشین انسان‌شویی ساخته شد!
این مُسکن‌ها خطر خونریزی داخلی را افزایش می‌دهند
عامل مهم ابتلا به تب دنگی در جهان
بیش از ۷ هزار بازمانده از تحصیل در شهرستان‌های تهران
هیچ مدرسه‌ای ویژه اتباع دانش‌آموز در کشور وجود ندارد
آیا واکسیناسیون عمومی علیه HPV یک ضرورت است؟
تجلیل اتحادیه پستی آسیا و اقیانوسیه از شرکت ملی پست ایران